查看審核功能記錄

　　發現重要的事件內容時，我們還可以對其執行一些操作；比方說，為了日后有空時能對重要事件內容進行仔細分析，我們可以將重要事件內容先保存起來，以防止清理日志時被意外刪除掉，在保存重要事件內容時，我們只要用鼠標右鍵單擊目標事件內容，從彈出的快捷菜單中執行“將事件另存為”命令，之后設置好保存路徑以及具體的文件名稱，再單擊“保存”按鈕就可以了，日后只需要再執行右鍵菜單中的“打開保存的日志”命令，就能將以前保存好的日志文件調用出來了。要是發現服務器系統中保存的事件內容太多時，我們應該定期執行右鍵菜單中的“清除日志”命令來清空日志記錄，以便騰出更多的寶貴空間資源。在日志記錄較多的情況下，要想快速尋找自己想要的事件記錄是一件不容易的事情，此時我們不妨執行“篩選當前日志”命令來對日志記錄進行篩選。

　　  實戰應用審核功能

　　審核功能在現實環境中對Windows Server 2008系統尤為重要，因為服務器系統在局域網環境中很容易受到攻擊，網絡管理員可以利用審核功能來對各種攻擊行為進行跟蹤監控，遇到有潛在安全威脅的事件發生時，我們可以想方設法地將審核功能監控到的事件內容通知給網絡管理員，網絡管理員就能立即查明事件原因，并對癥下藥地解決問題，從而保障服務器系統不受非法攻擊了。

　　例如，一些木馬程序常常會在服務器系統中偷偷創建用戶賬號，以便竊取服務器系統的超級管理員權限，此時我們可以通過用戶賬號監控來確定服務器系統中究竟是否存在非法用戶賬號，然后進一步確定究竟是哪一個用戶賬號是非法賬號。需要說明的是，要想讓Windows Server 2008系統自動將非法賬號創建的事件通知給網絡管理員時，必須確保對應系統的Task Scheduler服務處于正常的運行狀態。

　　首先依次單擊Windows Server 2008系統桌面中的“開始”/“運行”命令，在彈出的系統運行對話框中，執行字符串命令“secpol.msc”，打開服務器系統的本地安全策略控制臺窗口；

 

   

圖4 審核帳戶管理

    
    其次在該控制臺窗口的左側顯示區域，依次展開“安全設置”、“本地策略”、“審核策略”分支選項，在對應“審核策略”分支選項的右側顯示區域中，雙擊“審核賬戶管理”策略選項，打開如圖4所示的策略選項設置對話框，選中“成功”和“失敗”選項，再單擊“確定”按鈕關閉策略選項設置對話框，這樣一來無論用戶賬戶創建成功還是創建失敗，Windows Server 2008系統都會自動記錄下用戶賬號創建事件；

　　為了把用戶賬號創建事件內容自動通知給網絡管理員，我們還需要針對該事件附加執行自動報警的任務計劃。在附加自動報警任務時，我們先依次單擊Windows Server 2008系統桌面中的“開始”/“程序”/“管理工具”/“服務器管理器”命令，打開對應系統的服務器管理器控制臺窗口；在該控制臺窗口的左側區域依次點選“診斷”/“事件查看器”/“Windows日志”/“系統”子項，再從“系統”子項下面找到創建用戶賬號事件，如果找不到該事件內容時，我們還需要采用手工方法隨意在服務器系統中創建一個用戶賬號，這樣一來用戶賬號創建事件就會出現在事件查看器中了。

　　用鼠標右鍵單擊用戶賬號創建事件，從彈出的快捷菜單中執行“將任務附加到此事件”命令，打開任務計劃添加向導對話框，之后設置好新任務的名稱，例如這里我們將新任務取名為“自動報警用戶賬號創建情況”，當屏幕上出現如圖5所示的設置對話框時，選中“顯示消息”選項，再設置好需要報警的標題與內容，在這里我們將標題設置為“自動報警用戶賬號創建情況”，將報警內容設置為“服務器系統中可能有非法賬號被創建，請網絡管理員立即處理相關事件！”最后單擊“完成”按鈕，這樣一來Windows Server 2008系統日后就能把審核功能記錄下來的用戶賬號創建情況自動報告給網絡管理員了。

 

 

圖5 創建基本任務向導

    
    當我們嘗試通過遠程桌面方式在服務器系統中隨意創建一個用戶賬號時，Windows Server 2008系統屏幕上立即出現了一個自動報警提示窗口，告訴網絡管理員說“服務器系統中可能有非法賬號被創建，請網絡管理員立即處理相關事件！”，這就意味著此時有人在服務器系統中偷偷創建用戶賬號了，網絡管理員根據這個自動報警提示信息，就能在第一時間采取措施來解決相關問題，從而保障Windows Server 2008服務器系統不受非法攻擊了。